Beruflich Dokumente
Kultur Dokumente
TESIS DE GRADO
CERTIFICO:
Que el trabajo titulado “Auditoría interna al SGSI de la CNT E.P. para el proceso de venta e
instalación de productos y servicios de datos e internet para clientes corporativos en el D.M.Q”,
realizado por Karina Del Pilar Pabón Molineros, ha sido guiado y revisado periódicamente y
cumple normas estatuarias establecidas por la ESPE, en el Reglamento de Estudiantes de la
Universidad de las Fuerzas Armadas.
Debido a que se ha cumplido con las normas establecidas por la ESPE para el desarrollo del
trabajo de conclusión de carrera, se recomienda su publicación.
El mencionado trabajo consta del documento empastado y disco compacto el cual contiene
los archivos en formato portátil de Acrobat (pdf).
DIRECTOR DE PROYECTO
ix
DECLARACIÓN DE RESPONSABILIDAD
DECLARO QUE:
sueño, a mi madre y mis hermanos por su cariño, sus sacrificios y por estar siempre a
mi compañero y amigo el Ing. José Adrián Pino por su paciencia, apoyo incondicional,
nivel.
Finalmente quiero agradecer a todas las personas que en algún momento fueron
parte de esta etapa de formación, por brindarme una mano, un minuto de su tiempo y
CAPÍTULO 1.............................................................................................................. 1
1.1. Introducción ............................................................................................................. 1
1.2. Justificación e Importancia ...................................................................................... 2
1.3. Planteamiento del problema ..................................................................................... 6
1.4. Formulación del problema a resolver....................................................................... 6
1.5. Objetivo General ...................................................................................................... 6
1.6. Objetivos Específicos............................................................................................... 7
CAPÍTULO 2.............................................................................................................. 8
2.1. Estado del arte a nivel mundial y local .................................................................... 8
2.2. Marco Teórico ........................................................................................................ 25
2.3. Seguridad de la Información .................................................................................. 25
2.4. Seguridad de la Información VS. Seguridad Informática ...................................... 27
2.5. Norma ISO/IEC 27001:2005 Tecnología de la Información – Técnicas de
seguridad – Sistemas de gestión de seguridad - Requerimientos ....................................... 28
Auditoria al SGSI............................................................................................................... 39
2.6. Marco Conceptual .................................................................................................. 40
2.6.1. Sistema de Gestión de Seguridad de la Información (SGSI) ............................. 40
2.7. Auditoria de sistemas de gestión ............................................................................ 47
CAPÍTULO 3......................................................................................................... 53
3. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN ........... 53
3.1. Situación actual de la empresa CNT con respecto a la seguridad de la
información ............................................................................................................ 53
3.1.1. La empresa CNT ................................................................................................ 53
3.1.2. Estructura organizacional CNT EP. .................................................................. 59
3.1.3. Área de seguridad de la información ................................................................. 60
3.2. Sistema de Gestión de Seguridad de la Información (SGSI) de la CNT EP. ......... 61
CAPÍTULO 4............................................................................................................ 71
4.1. Planificar la auditoría interna al SGSI según lo establecido en la Normativa
para Auditorías Internas del SGSI. .................................................................................... 71
4.2. Elaborar el Plan de Auditoría ................................................................................. 85
xiv
4.3. Realizar la auditoría interna. .................................................................................. 97
4.3.1. Reunión de Apertura y actividades. ................................................................... 97
4.3.2. Realización de Auditoría (25 -02-2013 / 01-03-2013) AI1................................ 99
4.3.3. Recopilación de datos (04 -03-2013 / 08-03-2013) AI1 .................................. 102
4.4. Verificación de controles. .................................................................................... 103
4.5. Elaborar el informe de auditoría interna y desarrollar un plan de acción
preliminar. ........................................................................................................................ 106
4.6. Presentación de hallazgos a la alta gerencia ........................................................ 107
4.6.1. Resumen de Hallazgos Identificados en la Auditoría Interna Febrero AI 1 .... 111
4.6.1.1. Hallazgos...................................................................................................... 111
4.6.1.2. Conclusiones de Auditoría Interna (AI 1) .................................................... 120
4.6.1.3. Tratamiento de hallazgos de Auditoría Interna (AI1) .................................. 121
4.6.2. Resumen de Hallazgos Identificados en la Auditoría Interna Septiembre
AI 2 ...................................................................................................................... 123
4.6.2.1. Hallazgos Auditoría Interna (AI 2) .............................................................. 123
4.6.2.2. Conclusiones de Auditoría Interna (AI 2) .................................................... 125
4.6.2.3. Tratamiento de hallazgos (AI2) ................................................................... 126
4.7. Experiencia y Discusión....................................................................................... 127
4.7.1. Introducción ..................................................................................................... 127
4.7.2. Antecedentes .................................................................................................... 129
4.7.3. Situación actual y objetivo de la discusión ...................................................... 130
4.7.4. Metodología ..................................................................................................... 133
4.7.5. Evaluación de resultados. ................................................................................. 138
4.7.6. Conclusiones y trabajos futuros ....................................................................... 141
CAPÍTULO 5.......................................................................................................... 142
5. CONCLUSIONES Y RECOMENDACIONES ............................................... 142
BIBLIOGRAFÍA .................................................................................................... 146
ANEXOS .......................................................................................................................
xv
ÍNDICE TABLAS
Tabla 1. Países vs Certificaciones ...................................................................................................... 20
Tabla 5. Controles a ser validados en las Auditorias planificadas Anexo A5. .................................... 76
Tabla 6. Controles a ser validados en las Auditorias planificadas Anexo A6 – A7. ........................... 77
Tabla 7. Controles a ser validados en las Auditorias planificadas Anexo A8 – A9. ........................... 78
Tabla 8. Controles a ser validados en las Auditorias planificadas. Anexo A 10 - 15. ......................... 80
Tabla 12. Equipos de trabajo por área a ser auditado ........................................................................ 110
Imagen 18. Captura de pantalla Documento “Informe de Aceptación del Riesgo Residual”
alojado en el Sistema MAI, aplicación interna CNT EP. Tipo de documento: confidencial............... 67
Sistema MAI, aplicación interna CNT EP. Tipo de documento: confidencial. ................................... 67
Imagen 23. Captura de pantalla Documento “Normativa de Auditores internos del SGSI” punto
7, roles y requisitos de auditores internos para el SGSI. Alojado en el Sistema MAI, aplicación
Imagen 24. Captura de pantalla Documento “Normativa para Auditores internos del SGSI de la
CNT EP”. Alojado en el Sistema MAI, aplicación interna CNT EP. Tipo de documento:
Confidencial. ................................................................................................................................... 87
el Sistema MAI, aplicación interna CNT EP. Tipo de documento: Confidencial. .............................. 87
xviii
Imagen 26. Captura de pantalla Documento “Inventario de Activos de Información” alojado en
el Sistema MAI, aplicación interna CNT EP. Tipo de documento: Confidencial. .............................. 92
alojado en el Sistema MAI, aplicación interna CNT EP. Tipo de documento: Confidencial. ............. 92
Interna” alojado en el Sistema MAI, aplicación interna CNT EP. Tipo de documento:
Confidencial. ................................................................................................................................... 96
Imagen 30. Captura de pantalla del Documento “Informe Auditoría ................................................ 108
Interna Enero 2013” alojado en el Sistema MAI, aplicación interna ................................................ 108
Imagen 31. Captura de pantalla del Documento “Informe Auditoría ................................................ 108
interna CNT EP. Tipo de documento: Confidencial. AI2 Septiembre. ............................................. 108
donde se encuentra. El trabajo debe ser arduo en la implantación del SGSI y más aún
hallazgos para presentarlos a la alta dirección, apoyando así a la elaboración del plan
transición de concientizar a toda la organización para que acepte este nuevo reto y se
Hallazgos.
xxii
ABSTRACT
The decision of an organization to give the suitable treatment to the risks associated
strategic decision sustained in the analysis of organization's nature, the area where it's
develops and produces, company´s need, his clients and suppliers, his situation on the
market and the positioning in de country. The work must be arduous in the
implantation of the ISMS and furthermore in the execution and subsistence. The
EP., in this successful way, towards the international certification under the norm
ISO/IEC 27001:2005 in the part of check, it´ll value the situational condition of his
Management System for the process strategically chosen by the organization, checking
present them to the Senior Member, promoving to the production of the action plan to
execute for the closing observation. Also it will promote on the transition of sensitizing
the whole organization in order that accepts this new agreeing challenge the role that
he has to assume.
CAPÍTULO 1
1.1.1. Introducción
corporación o CNT EP.)., decidió dar el adecuado tratamiento a los riesgos asociados
ISO/IEC 27001:2005.
La CNT E.P., necesita obtener esta certificación para satisfacer los nuevos
requerimientos del mercado. Los clientes corporativos exigen con mayor frecuencia a
clientes corporativos
estudio del estado del arte de los Sistemas de Gestión de Seguridad de la Información
cláusula seis de la norma ISO/IEC 27001:2005, se ejecutó la auditoría interna del SGSI
controles aplicables de la norma los cuales elevarán los atributos de negocio basados
descripción:
satisfacción en los servicios que se les brinda con base en un manejo de la información
confiable y segura, transparencia y buen gobierno; siendo así reconocidos como socios
así el prestigio y los intereses de los accionistas, los clientes, los proveedores y los
relacionado.
seguridad de la información con la estrategia del negocio de la empresa, los cuales sin
duda, apoyarían a incrementar la percepción de CNT EP., como una empresa que
Por todos los puntos mencionados, la CNT EP requiere realizar esta auditoría
una vez realizada la revisión documental del SGSI en cada una de las
áreas involucradas.
CAPÍTULO 2
2.
como: las redes sociales, teléfonos móviles, computación en la nube, ha causado que
tecnología.
en el futuro?
necesidades del negocio; no solo depende del área de tecnología (TI), es un tema
riesgos de la empresa.
ataques serán inevitables, pero las organizaciones deben enfocarse en soluciones que
planeen, protejan, predigan y respondan ante las amenazas. Es por esto, que se hace
organización.
su naturaleza.
desempeñan.
ISO/IEC 27000: Proporciona una visión general de las normas que componen
objetivos de control y controles que desarrolla la ISO/IEC 27002:2005, para que sean
riesgos.
13
TI).
información.
Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de
Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren
2013).
seguridad en la información.
Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores:
de servicios).
entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el
métodos de investigación.
2014. Consistirá en una guía con directrices para el análisis e interpretación de las
evidencias digitales.
Para cubrir los objetivos, se utiliza la norma ISO/IEC 27001:2005 que nos
de la información.
dejando así expuesta información esencial que no fluye por los sistemas de
empresa para ser competitiva debe satisfacer los requisitos de los clientes entregándole
debe involucrar a toda la organización y que debe ser dirigida y apoyada desde la
dirección.
Certificaciones a nivel
mundial ISO/IEC Japon
Reino Unido
India
España
Mexico
Brasil
Argentina
Colombia
Peru
Chile
Ecuador
agosto del 2012 existen 7940 organizaciones con certificación ISO/IEC 27001:2005
seguido de Reino Unido con 573 certificaciones e India con 546 certificaciones.
con 72 certificaciones, México con 25, Brasil con 24, Argentina con 17, Colombia con
14, Perú con 7, Chile con 5, Ecuador con 2 y Bolivia con 1 certificación.
PAÍSES CERTIFICACIONES
Japón 4152
Reino Unido 573
India 546
España 72
México 25
Brasil 24
Argentina 17
Colombia 14
Perú 7
Chile 5
Ecuador 2
Bolivia 1
21
seguridad es:
posee todo un sistema de gestión integrado con certificaciones en cuatro áreas: calidad
22
Beneficios:
Para una empresa, los beneficios de implementar las normas ISO 9001, ISO
reflejados en:
procesos integrados.
23
Los beneficios anteriores debido a que los clientes al saber que una empresa
está certificada en cualquiera de estas normas o en las tres, sienten confianza y respaldo
excelencia.
Como parte del presente proyecto se realizó una investigación por muestreo
donde se tomaron las licitaciones en las que la CNT EP participó en el año 2011 y se
encontró que más del 50% de los clientes corporativos demandan que su proveedor de
de la información, no solo por cumplir con los requisitos legales, sino porque los datos
(ITGLOBAL, 2011))
aplicaciones, sistemas operativos y base de datos sobre las que funciona la empresa.
información, convirtiéndose en una tarea ardua de realizar pero que cuya respuesta se
como objetivo mantener siempre el riesgo por debajo de umbrales asumidos por la
información, sin olvidar que la eficacia de estos controles depende de una revisión
directos, sino que también afectan a la imagen de la empresa, por lo que, cada vez más,
proteger.
partir de los cuales debe desarrollar políticas que definan el marco para implementar
27
medidas de seguridad, teniendo en cuenta aspectos como las leyes y regulaciones que
rigen a la organización.
y la naturaleza de su actividad.
públicos, pequeños o grandes. Siendo hoy en día la norma que constituye la base para
la ISO 9001 es para la calidad: es una norma redactada por especialistas del mundo en
Información (SGSI). La adopción del SGSI debe ser una decisión estratégica de la
(Deloitte, 2012)
–Act) Planear, Hacer, Chequear, Actuar, el cual se aplica en todos los procesos SGSI.
(27001:2005, 2005)
Componentes
“Compromiso de la gerencia
aceptables;
SGSI:
regulaciones relevantes;
e importancia de los procesos y áreas a ser auditados, así como los resultados de
su propio trabajo.
La gerencia responsable para el área siendo auditada debe asegurar que se den
sin demora las acciones para eliminar las no-conformidades detectadas y sus causas.
(por lo menos una vez al año) para asegurarse de su continua idoneidad, conveniencia
La organización debe realizar las acciones para eliminar la causa de las no-
conformidades con los requisitos del SGSI para poder evitar la recurrencia. El
procedimiento documentado para la acción correctiva debe definir los requisitos para:
vuelvan a ocurrir;
acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas
requisitos para:
conformidades;
del riesgo tiene que ser justificada y debe ser debidamente evidenciada que los riesgos
Controles: Control es lo que permite garantizar que cada aspecto, que se valoró
listado completo de objetivos de control y los controles de cada uno de ellos, los
mismos que se alinean con ISO/IEC 27002:2005 Cláusulas del 5 al 15. Las listas en la
Tabla A.1 no son muy grandes por lo que la organización puede considerar o no todos
norma.
controles que son los mínimos que se deberán aplicar, o justificar su no aplicación,
Auditoria al SGSI
En la Auditoría Interna del SGSI existen varias diferencias con las anteriores,
está orientada hacia la mejora continua del SGSI, se basa en actividades que aporten
información en sistemas informáticos, incidiendo sobre los mismos para poder evaluar
Auditoría Interna del SGSI se enfoca a la mejora continua del Sistema de Gestión de
Seguridad de la Información.
40
información
imagen corporativa.
− Marketing y comunicación;
− SGSI.
la información y como repuesta a los cambios internos y a los factores externos. Cada
la seguridad de la información.
Imagen 9. Beneficios
disponibilidad de la información.
− Reduce litigios.
información.
43
Una vez que se obtiene la certificación del SGSI según la norma ISO/IEC
Alcance
geográfica.
44
Aplicación
cual sea su tipología, tamaño y producto o servicio ofrecido. Cuando alguno de los
Implementación
esenciales:
organización.
organización utilizar los instrumentos que consideren oportunos para medir y controlar
la mejora el sistema.
Certificación
ISO/IEC 270001:2005.
requisitos de la norma.
46
Normas
seguimiento);
atributos, evaluación).
ISO/IEC 19011
− Actividades de la auditoria.
Principios de Auditoria
suficientes, y que auditores que están trabajando por separado alcancen conclusiones
conducta.
tiempo y con recursos limitados. Sin embargo las muestras deben ser apropiadas para
Tipos de Auditoría
Proceso de Auditoría
− Planificación
− Ejecución
− Conclusiones
Planificación
Ejecución
de un procedimiento por cada objetivo, para poder reunir evidencia suficiente que
permita la obtención de conclusiones sobre el mismo. Esta última etapa del proceso de
generales sobre la tarea realizada. Esta etapa termina con la emisión del
CAPÍTULO 3
del 2010, la CNT S.A., se convierte en empresa pública, y pasa a ser, desde ese
CNT EP, empresa estatal líder en el mercado de las telecomunicaciones del Ecuador.
y en la convergencia de tecnologías.
54
empresarial:
gestión, el valor agregado que ofrece a sus clientes y el servicio a la sociedad, que sea
2013)
productos:
nacional, siendo la empresa que posee la mayor cantidad de abonados suscritos a nivel
corporativos.
55
corporativos. Brinda gran variedad de planes tarifarios, según su oferta comercial los
precios ofrecidos sean los más asequibles del mercado, y aplican a las tecnologías
Telefonía pública: como parte de su portafolio y como servicio que brinda una
y tarifas convenientes hacia cualquier destino del mundo (llamadas locales, nacionales,
celulares e internacionales).
56
través de una de las redes más avanzadas de América Latina y soporte técnico
a nivel nacional.
57
Internet móvil: Al igual que telefonía móvil, este servicio aplica a las
cualquier lugar de cobertura y sobre cualquier terminal que soporte telefonía móvil y
datos.
jerárquicos; donde, el primer nivel compone al directorio y los miembros del staff
(GNTI).
que apalancan al negocio para cumplir con sus objetivos estratégicos. La GNTI posee
60
de staff dentro de la Gerencia de TI de modo que tiene injerencia sobre todas las áreas
de esta.
este se encuentra conformado por el Gerente General y todos los Gerentes Nacionales
especialistas en riesgos.
está basado tanto en temas proactivos como reactivos. La pro actividad realiza un
seguridad de la información.
proyecto fue encabezada por el grupo de seguridad de la información, a tal punto que
una vez que el sistema ha sido implementado, la gestión, monitoreo y mejora depende
internacional.
de satisfacer las nuevas exigencias del mercado. Los clientes corporativos exigen con
estado.
Manejo Automático de la ISO (MAI) la cual forma parte del cumplimiento de la norma
de Documentación).
64
Amazonas y Veintimilla.
Gerencia Nacional
Oficina:
Jurídica.
Edificio CETA.
Gerencia Comercial.
Eloy Alfaro y Nueve de Octubre.
Gerencia Nacional de
Edificio DORAL. Desarrollo
Organizacional.
Gerencia Nacional de TI
Representante de
Gerente General.
Gerencia de Soluciones.
- Desarrollo TI.
- Arquitectura TI.
Jorge Drom y Gaspar de Villarroel.
BDD, Servidores, Redes
Edificio IÑAQUITO. TI.
Gestión de la Calidad
TI.
- Gestor de Cambios.
- Encargado SGSI.
- Oficial de Seguridad
de la Información.
Gerencia Soluciones
Amazonas y Corea.
Corporativas.
Edificio VIVALDI.
Seguridad Física.
65
Manejo Automático de la ISO (MAI) la cual forma parte del cumplimiento de la norma
de Documentación).
información para tomar las medidas necesarias y mantener los riesgos en niveles
entorno de la organización.
aplicación interna MAI los documentos que hacen referencia a esta información:
Transacciones en línea).
de Aplicabilidad”.
68
necesarios para cumplir con los objetivos establecidos.La pirámide documental del
Registros de Seguridad
dentro de los distintos controles que forman parte del SGSI, realizando las revisiones
tecnológico, físico o publicitario que permita llegar a toda la CNT EP, considerando
evaluaciones al personal que ha sido capacitado para medir su nivel de asimilación del
Sobre la mejora del SGSI: a través del modelo PDCA, la CNT ha establecido
controles tanto técnicos como no técnicos así como los resultados de las auditorías y
de acciones correctivas que busca eliminar las causas de las no conformidades para
prevenir la recurrencia.
ejecutan según lo indicado en cada procedimiento que forma parte del SGSI. Con lo
ISO/IEC 27001:2005:2005.
71
CAPÍTULO 4
preliminar.
“Normativa para Auditorías Internas al SGSI”, el mismo que tiene como objetivo
normalizar los distintos requisitos y controles que deben revisarse en cada auditoria
interna realizada al SGSI de la CNT EP, considerando que todo el SGSI es evaluado
en el año.
72
Como consideración se debe tener presente que las auditorías internas son un
mejora continua.
− ISO/IEC 27001:2005
− Los registros que deben generarse por cada auditoría interna son:
detallado de hallazgos)
presentación de hallazgos
entregables.
un año, los controles que no se encuentren marcados en la columna AI1 (Auditoria 1),
serán tomados en cuenta en la siguiente auditoría semestral, los cuales podrán ser
75
identificados al estar marcados en la columna AI2 (Auditoría 2). Los requisitos a ser
Continúa
8 Mejoramiento del SGSI
8.1 Mejoramiento continúo x
Continúa
A.6.2.1 Identificación de riesgos relacionados con partes externas x
A.8.1.2 Selección x
Continúa
A.8.2 Durante del trabajo x
Continúa
− Soluciones Corporativas
− O&M TX (MPLS)
− Gerencia Nacional de TI
85
base a la Normativa para auditorías internas se han determinado cuatro aspectos con
logística y autoridad.
A continuación se detalla en la Tabla 2., los ítems por cada uno de estos
aspectos y su resultado.
DETALLE
ITEM
Fecha de
elaboración de
Plan de La fecha de elaboración del plan de auditoria se registra en: Enero 2013
Auditoría
- Controles a revisar,
- Activos de información,
Clase de
auditoría.
86
Proceso
Auditor líder
Continua
Encargados de la Auditoría:
Continúa
- Comercial
- Soluciones Corporativas
- O&M Core y Plataformas
- O&M TX (MPLS)
- Gerencia Nacional de TI
- Áreas de Soporte del SGSI (Jurídico, Seguridad Física, Asuntos
regulatorios y Desarrollo Organizacional.)
ÁREA
Gerencia Comercial
O&M TX
Desarrollo TI
Arquitectura TI
BDD TI
Gestión de la Calidad de TI
GNTI
Redes TI
90
Servidores TI
Data Center TI
Gestor de Cambios
Encargado SGSI
JUR
ARI
Seguridad Física
DEO
Continúa
Una vez definidas las áreas involucradas, los equipos de trabajo y
considerando: el tiempo de trabajo, los requisitos y los controles a ser
auditados; se establece en términos de tiempo la realización de las
auditorias tomando en cuenta que en una sola visita se debe completar
tanto las entrevistas como la auditoria de controles.
Área
Gerencia Comercial X
Gerencia Soluciones X
Corporativas
Gerencia de O&M X
Core y Plataformas
O&M TX X
Desarrollo TI X
Arquitectura TI X
BDD TI X
91
Gestión de la Calidad X
de TI
GNTI X
Redes TI X
Servidores TI X
Data Center TI X
Gestor de Cambios X
Encargado SGSI X
Oficial de Seguridad X
de la Información
Continúa
Representante de X
Gerente General
JUR X
ARI X
Seguridad Física X
DEO X
Activos seleccionados
Procedimientos seleccionados
Continúa
Área Comercial
N/A
Jefatura de IP MPLS
N/A
Continúa
AUTORIDAD
Autoridad Por último, se realiza el r (CNT EP, 2012)registro de la firma del Oficial de
Seguridad de la Información por la revisión del documento y del
representante de la Gerencia General para la aprobación del documento.
No Autorizado No Autorizado
No Autorizado No Autorizado
los participantes los lineamientos para proseguir con la auditoria in situ a realizarse,
registrada con fecha jueves, 21 de febrero del 2013 desde las 09h00 a.m. hasta las
11H00 a.m. presentándose el plan de auditoria acordando que el mismo sería ejecutado
en el transcurso de las siguientes dos semanas laborables, fue revisado por todo el
planificación.
para mostrar confianza a los auditados, del cómo va a ser la comunicación con los
delegados de cada área a ser auditada, como actuar si existiera controversia entre
este periodo se incluye el tiempo de espera para el inicio de cada entrevista de auditoria
cuyo umbral fue de diez minutos, al igual que la fecha de la reunión de cierre.
realizarse y participar activamente el día que haya sido designado para la entrevista,
en casos de fuerza mayor el delegado debió designar a personal de apoyo para que
Para el contacto con el personal a ser auditado se determinó que al menos con
auditoría conforme al plan enviado por los medios de comunicación masiva interna de
S1 Auditorias
Gerencia Comercial X
Gerencia Soluciones Corp. X
Gerencia de O&M Core y X
Plataformas
Continua
O&M TX X
Desarrollo TI X
Arquitectura TI X
BDD TI X
Gestión de la Calidad de X
TI
GNTI X
Redes TI X
Servidores TI X
Data Center TI X
Gestor de Cambios X
Encargado SGSI X
Oficial de Seguridad de la X
Información
Representante de Gerente X
General
JUR X
ARI X
Seguridad Física X
DEO X
cierre a los miembros del equipo de auditores para evitar contratiempos de última hora.
101
102
Para cumplir con esta acción cada auditor líder elaboró un formato preliminar
Una vez que se ha completado la auditoria, el auditor líder realizó una revisión
cierre.
− Lista de hallazgos
de la respectiva evidencia de auditoría, la misma que fue revisada con el delegado del
104
Mejora, las mismas que en gran parte son un valor añadido a la auditoria y que
posiblemente no requieran de una acción correctiva pero que si desean ser comentadas
NC.
desarrollo de los conceptos descritos en base a los anexos de la norma y los controles
cierre que tuvo como fecha de registro el día miércoles 06 de marzo del 2013 desde
las 14h30 hasta las 16h30, donde se expuso las novedades encontradas en la auditoria,
Acciones Preventivas.
realizaron los días viernes 08 de marzo del 2013 para la AI1, y el día miércoles 11 de
información para que sea comprendido por los destinatarios esperados y facilitar las
acciones correctivas.
marzo del 2013, para lo cual se ejecutaron 20 reuniones que se detallaron en el punto
del 2013, para lo cual se ejecutaron 23 reuniones a las áreas mencionadas la Tabla 12
los cuales fueron objeto de recomendaciones para ejecutar planes de acción inmediata,
cuyo resumen de los mismos serán indicados en los puntos 4.5.1 y 4.5.2.,
respectivamente.
Tabla 12. Equipos de trabajo por área a ser auditado
Gerencia Comercial X
O&M TX X
Desarrollo TI X
Arquitectura TI X
BDD TI X
Aplicaciones de TI X
Gestión de la Calidad de TI X
GNTI X
Redes TI X
Servidores TI X
Data Center TI X
Gestor de Cambios X
Encargado SGSI X
Oficial de Seguridad de la X
Información
JUR X
ARI X
Seguridad Física X
Gestor de Incidentes X
Service Desk X
DEO X
4.1.10. Resumen de Hallazgos Identificados en la Auditoría Interna
Febrero AI 1
al SGSI de la CNT EP, ser recomendado para certificarse bajo la norma ISO/IEC
27001:2005:2005.
4.1.11. Hallazgos
Continúa
3 Aunque se ha definido una Áreas involucradas X 4.2.3 a
"Normativa de Administración de en el alcance del Monitorear y
incidentes de Seguridad de la SGSI revisar el SGSI.
información" u "Procedimiento A13.1.1
Reporte de eventos
de gestión de incidentes de en la Seguridad de
seguridad de la información", se la información.
evidencio que no todo el personal A13.1.2
entrevistado tiene claramente Reporte de las
definido a quien y como reportar debilidades en la
un incidente de Seguridad de la seguridad
información. A13.2.2
Así mismo, algunos de ellos Aprender de los
confunden el concepto de incidentes de la
seguridad
incidente de seguridad de la
información.
En las entrevistas realizadas al
personal responsable de las áreas
involucradas en el SGSI, se
verificó que los representantes de
las áreas JUR, GNTI, Seguridad
Física y DEO no tienen calor a
quien y como reportar un
incidente de seguridad de la
información
4 Aunque se ha definido un Áreas involucradas X 5.2.2
programa de Capacitación del en el alcance del Capacitación,
SGSI para el personal de CNT SGSI sensibilización y
EP, en las entrevistas realizadas competencia.
al personal delegado de las áreas
involucradas en el alcance SGSI,
se identificó que el 30% de las
personas entrevistadas no
respondieron claramente su han
tenido una capacitación formal de
aspectos de seguridad de la
información.
Continua
Seguridad de la X 4.2
10 En las revisiones Información. Establecimiento y manejo
efectuadas se del SGSI.
evidenció que la
Corporación no A.14 Gestión de la
cuenta con un plan Continuidad del Negocio.
de continuidad del
negocio,
formalmente
establecido,
documentado y
probado el cual les
permita seguir
operando en caso
de una
contingencia.
Existe un proyecto
ejecutándose al
momento de la
Auditoría Interna,
cuyo resultado
final será el BCP
para el proceso del
alcance de la
Certificación.
Jurídica, ARI X 4.2. b2 Establecer
11 Aunque se ha el SGSI.
establecido una A15.1
Normativa de Cumplimiento
Cumplimiento de los
Legal, este requisitos
documento no se legales.
encuentra bajo A15.1.4
conocimiento de Protección y
los representantes privacidad de
de las Gerencias gastos.
Nacionales JUR y
ARI, a pesar de
dichas gerencias
participaron en la
revisión del
mismo. Continúa
12 X
Si bien se ha IP-MPLS A9.1.2
Controles de ingreso Físico.
definido un área Equipos de
específica para comunicación de red de
la ubicación de prestación de servicios
equipos de de datos e internet.
comunicación
de la red IP-
MPLS, en la
visita efectuada
a este sitio se
verificó que la
puerta
permanece sin
seguro.
13 Aunque se han Seguridad de la información X A15.2.2
Revisión del
definido e
cumplimiento
implementado técnico.
políticas y
estándares de
accesos y
autenticación de
usuarios en los
recursos de
información, se
verificó que no
son revisados
regularmente
con el objetivo
de verificar su
cumplimiento.
14 Si bien cada Áreas involucradas en el X A10.1.2 Gestión
del Cambio
área del alcance alcance del SGSI
A12.5.1
del SGSI Procedimiento de
ingresa Control de Cambio
solicitudes de
cambios y/o
modificaciones
en sistemas,
aplicaciones y
servicios
especiales.
(Bases de datos
y operativos), y
estas pueden ser
ubicadas en el
sistema
Remedy se
identificó que
Continúa
no se mantiene
un registro de
todos los
cambios y/o
modificaciones
realizados.
Además se
identificó que
no se cuentan
con procesos
formales para
Soluciones de
TI y QA.
17 X
Aunque la Tecnologías de la A9.1.2
Corporación ha Información/Data Center Controles de
establecido Servidor de la BDD y Open ingreso físico
personal Flexis y SAFA
autorizado para
el acceso al
Data Center de
la GNTI, se
identificó que
no se realizan
revisiones
periódicas de
tales accesos
indicó:
compromiso y conocimiento.
EP para que la gestión del SGSI sea asumida por todos sus involucrados
organización.
4.2.3. Resumen de Hallazgos Identificados en la Auditoría Interna
Septiembre AI 2
al SGSI de la CNT EP, ser recomendado para certificarse bajo la norma ISO/IEC
27001:2005:2005, pero estos en menor grado de corrección por lo cual serían mucho
indicó:
− Compromiso de la Direccion
Información.
4.2.6. Tratamiento de hallazgos (AI2)
información.
SGSI.
y el BCP.
4.2.7. Experiencia y Discusión
“No hay nada más difícil de emprender, ni más dudoso de hacer triunfar, ni
en enemigo de los que se beneficiaban con las leyes antiguas y no se granjea sino la
amistad tibia de los que se beneficiarán con las nuevas. Nicolás Maquiavelo.”
(Maquiavelo, 1513)
famoso Nicolás Maquivelo y cada vez se concluye que a pesar de haber sido escrita
por los años 1500 es una conclusión verdadera y aplicable aun en el siglo XXI.
En verdad, es muy fácil hacer que los seguidores desistan de las ideas de
quienes los guían, muy complicado mantener y tener vigente las nuevas leyes, ya que
4.2.8. Introducción
Con esta meditación se da inicio a la discusión del presente trabajo porque hay
tropezaremos con serias dificultades que solo con gran valor pueden ser superadas y
mayor dificultad.
que implica la gestión operativa rutinaria con los cambios que se estaban presentando
− Resistencia al cambio.
tema.
Si bien estos factores son los que cualquier empresa puede experimentar al
a la otra o pueden obtener el mismo grado de participación bajo una nueva sociedad,
tambien trae un alto riesgo de amenazas para la misma; es así como respuestas
miedos.
compromiso del personal que aun no acoge este cambio, y sigue sintiendo en peligro
de la Auditoría AI1.
43,48 %
34,78%
21,74 %
personal del colaborador; la percepcion por parte del equipo auditor fue igual, los
mas de un año, con una auditoria realizada para evaluar el estado situacional de la
surge una nueva pregunta: ¿Qué estaba sucediendo?, la respuesta a esta cuestión se la
corporacion para una evaluación externa y asi obtener una certificación internacional
ISO/IEC 27001:2005.
espectativa era pasar esta evaluación en la primera fase pero salieron a la luz estas
falencias y la recomendación del auditor externo fue cerrar las mismas observaciones
certificación internacional.
Después de estas auditorias, el plan de acción se enfocó en su mayoría en
4.2.11. Metodología
presta varios servicios y cada vez innova con nuevos productos para sus clientes, esto
a sus clientes, encontrandose esta exigencia en todas las áreas de la empresa: sean las
sigueinte:
trabajo.
obligatorio.
interes incluso con los colaboradores mas reacios, el hecho de revisar los
tips sobre canales oficiales y masivos, causó que del grupo detectado en
consideramente alta.
Todo este plan de acción tardó en ejecutarse entre cuatro y cinco meses
incluyendo todos los temas de gestión interna que se realiza para oficializar tanto las
para comprobar la efectivdad del plan ejecutado, esta nueva revisión volvió a
demostrar que aún no se podía cerrar con éxito las observaciones de capacitación,
igual que el compromiso de la dirección, pero aun seguia siendo un inconveniente que
capacitación obligatoria la cual debía ser aprobada por todos los involucrados en el
Este curso realizado por el canal interno oficial de capacitaciones, tuvo como
estrategia enviar un mail personalizado a cada colaborador para que ejecute el curso
corporación.
Imagen 33. Captura de pantalla Curso: Seguridad de la Información.
Aplicación interna CNT EP.
cerrar las no confomidades mencionadas, fue sin duda la Auditoria de Septiembre AI2,
55,56%
22,22% 22,22%
La gráfica indica que la incidencia que venía repitiéndose por casi un año fue
superada con gran éxito al culminar la auditoria interna AI2 como cumplimiento del
55,56%
43,48%
34,78%
22,22%
22,22% 21,74%
requisitos, fueron en menor grado y tratables para llegar a la auditoría externa realizada
corría el riesgo de que estos hallazgos sean encontrados por el auditor de certificación,
tema que preocupó al grupo de seguridad de la información por lo cual para cerrar
estas observaciones la corporación tuvo que trabajar arduamente en tres semanas sobre
lograron con el apoyo de gerencia ya que los mismos por su importancia debieron ser
de cumplimiento obligatorio.
4.2.13. Conclusiones y trabajos futuros
por que las disposiciones indican o no una forma de actuar determinada. El trabajo
implica un orden, disciplina, sacrificio, trabajo arduo e incansable, que solo se logra
todos los colaboradores el avance y crecimiento tardará aún más, porque con el
5. CONCLUSIONES Y RECOMENDACIONES
posterior.
internas se cumplió con cada uno de los ítems registrados apoyando directamente con
norma que indica que debe realizarse auditorías internas en intervalos determinados.
otras organizaciones se tiene miedo al cambio que genera buscar una mejora continua,
por varias razones, siendo las principales: la resistencia a dicho cambio, el compromiso
que esto implica, persistencia y disciplina que se requiere para la mejora continua y la
concluyendo que los métodos sugeridos sobre aplicaciones de planes de acción deben
exigencias que requiere para mantenerse en el mercado junto con el estudio previo
éxito final. Este cambio modificó la forma de trabajar de la empresa, haciéndolo pensar
realizan, siendo conscientes que mejorar no implica solamente tratar de hacer mejor lo
información.
requisitos impuestos por dicha norma deben ser implementados al 100%, y, uno de
experiencia para aplicar una metodología válida para evaluar los riesgos de seguridad
organización.
Cada vez existen más riesgos de seguridad y con impacto mayor, por lo que se
debe estar atento a las nuevas tendencias, siendo alternativos con la manera de
proceder y responder con prudencia a los sucesos repentinos que puedan dañar los
El personal debe estar atento a las iniciativas de seguridad que en el corto plazo
(s.f.).
CNT EP. (2012). Normtiva de auditores internos del SGSI. Quito, Pichincha, Ecuador.
CNT EP. (2013). Informe Auditoría Interna Septiembre 2013. Quito, Pichincha, Ecuador.
CNT EP. (01 de 02 de 2012). Alineación Estratégica del SGSI. Alineación Estratégica del SGSI.
Quito, Pichincha, Ecuador.
CNT EP. (2012). Informe de aceptación del riesgo residual. Quito, Pichincha, Ecuador.
CNT EP. (01 de 02 de 2012). Objetivos del SGSI. Quito, Pichincha, Ecuador.
CNT EP. (01 de 2013). Informe Auditoría Interna Enero 2013. Quito, Pichincha, Ecuador.
CNT EP. (2013). Normativa para auditorias internas al SGSI. Quito, Pichincha, Ecuador.
Deloitte. (2012). Informe TMT Predicciones 2012 de Deloitte. Quito, Pichincha, Ecuador.
SGS. (2012). Curso de formación para Auditor/Auditor jefe SGS ISO/IEC 27001, 2012.